遺忘了windows系統(tǒng)管理登錄密碼怎么辦?破解sam錯誤了怎么辦?

方法1：

成都創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站制作、成都網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的隴縣網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

1.開機啟動Win XP，當(dāng)運行到“正在啟動Windows XP”的提示界面前，按“F8”鍵調(diào)出系統(tǒng)啟動選擇菜單，多按壓幾次，直到出現(xiàn)選擇菜單，選擇“帶命令行安全模式”；

2.當(dāng)運行停止后，會列出“Administrator”和其它用戶的選擇菜單，選擇“Administrator”后回車，進(jìn)入命令行模式；

3.鍵入命令““net user xpuser01 1234/ADD”這是更改該用戶密碼的命令，命令中的“1234”是更改后的新密碼，如果鍵入的用戶不存在（xpuser01），那么系統(tǒng)會自動添加這個用戶。

4.另外還可以使用“net 1oca1group administrator xpuser01 /ADD”命令把 xpuser01這個用戶升為超級用戶，即可擁有所有權(quán)限。

5.最后一步，就是重新啟動計算機，在登錄窗口中輸入剛剛更改的新密碼便可成功登陸。

如果你的系統(tǒng)安裝在NTFS格式下，或者admonistrator用戶需要密碼可以使用方法2：

1、用軟盤或者光盤啟動計算機到另一操作系統(tǒng)，當(dāng)然原來硬盤上有另外的操作系統(tǒng)更好。如果是dos系統(tǒng)，可能需要啟動NTFSFORDOS.

2、將c:\windows\repair\sam復(fù)制到c:\windows\system32\config\中覆蓋原有的sam，這里假定你的系統(tǒng)是安裝在C:\windows下。

3、重新啟動計算機，在登錄窗口中用戶輸入administrator，然后確定即可，administrator的密碼取消了，進(jìn)入系統(tǒng)后你可以重新設(shè)定你的密碼。

電腦系統(tǒng)盤的sam文件怎么查看

電腦中的sam文件夾地址：

C:\WINDOWS\system32\config文件夾。

sam文件是系統(tǒng)記錄密碼的文件，但是在系統(tǒng)使用狀態(tài)不能復(fù)制，由于SAM文件受系統(tǒng)保護，沒有辦法直接打開的。

windows系統(tǒng)中的“sam"密碼文件,有兩個,請問哪一個是真正的密碼文件?

我自己以前試過，xp和vista的密碼都可以用這種方法破解（復(fù)制沒密碼的sam文件到自己系統(tǒng)中覆蓋，注意文件名是“sam”，沒后綴名的。），你的方法有點錯的了地方！

xp和vistat的“sam”文件都不能刪，2000才行！

比如xp吧，刪了“sam”文件后賭你500萬你都不能讓系統(tǒng)啟動！

xp

和vista

對此sam

有區(qū)別嗎？

答：想都不用想，當(dāng)然有區(qū)別，“sam”可以說是存儲用戶名與密碼的“數(shù)據(jù)庫”吧，好像他們在系統(tǒng)中的管理方式是截然不同的！我在百度里看過！

我該怎么做呀？

答:你不是有pe啟動u盤的嘛，你看看那個pe里有沒有破解windows用戶名密碼的工具！（你可以參考下

深度pe，功能好多！強悍！）如果有那工具的話，你就試試能不能破解（注意：先把你的sam文件再復(fù)制一份到另一地方，以免出現(xiàn)閃失，呵呵），不能的話，就只有去網(wǎng)上找找有沒有這種工具了。

深度pe系統(tǒng)里就有破解系統(tǒng)密碼的軟件，可以把密碼清除，變成空密碼！

用老毛桃PE清除windows10 密碼沒找到SAM文件怎么弄

由于操作失誤導(dǎo)致系統(tǒng)誤刪sam文件，導(dǎo)致電腦不能正常啟動。

解決方法：

1、首選進(jìn)入BIOS設(shè)置從U盤啟動，如圖：

2、在U盤系統(tǒng)啟動界面中選擇運行XXPE微型系統(tǒng)，選2項即進(jìn)入到PE系統(tǒng)。如圖：

3、進(jìn)入PE系統(tǒng)后，在系統(tǒng)中進(jìn)入C：＼Windows＼System32＼config＼RegBack處并拷貝一個SAM文件。

4、打開目錄：c：＼WINDOWS＼system32＼config，然后把U盤的system文件替換進(jìn)去，重啟計算機就修復(fù)好了。

5、安裝下驅(qū)動人生或驅(qū)動精靈，然后打開，檢測安裝驅(qū)動，驅(qū)動安裝完成后即可重啟正常使用電腦了。

電腦里SAM是什么?

解剖安全帳號管理器（SAM）結(jié)構(gòu)

創(chuàng)建時間：2002-04-30

文章屬性：原創(chuàng)

文章來源：

文章提交：refdom (refdom_at_263.net)

Author: Refdom

Email : refdom@263.net

HomePage:

2002/4/29

I、 摘要

II、 關(guān)于SAM

III、注冊表中SAM數(shù)據(jù)庫的結(jié)構(gòu)

IV、 SAM數(shù)據(jù)庫的結(jié)構(gòu)和主要內(nèi)容

V、 關(guān)于SAM數(shù)據(jù)庫分析的結(jié)論

一、摘要

分析安全帳號管理器結(jié)構(gòu)是在一個多月前做的事情了，只零碎地記錄下片段，沒有發(fā)布過。不發(fā)布的主要

原因是安全帳戶管理器（SAM）是WIN系統(tǒng)帳戶管理的核心，并且非常系統(tǒng)化，我也有很多地方僅僅是進(jìn)行的推

斷和猜測，同時，SAM hack可能造成啟動時lsass.exe加載帳戶管理器出錯，即便是安全模式也不能修復(fù)（啟動

時候必然加載SAM）使得整個系統(tǒng)啟動崩潰（我通常需要依靠第二系統(tǒng)刪除SAM文件來啟動）。至于現(xiàn)在發(fā)布出

來，主要是因為Adam和叮叮的《克隆管理員帳號》種所描述的制作rootkit辦法隱蔽性和危害性，對SAM的結(jié)構(gòu)

的熟悉，可以幫助安全維護人員做好安全檢測（當(dāng)然也可能讓不良企圖者利用）。

這里只介紹關(guān)于SAM的內(nèi)容，同Security相關(guān)的暫時不公開。

二、關(guān)于SAM

不要誤解了SAM，這不是一個文件sam這么簡單。SAM（Security Accounts Manager安全帳戶管理器）負(fù)責(zé)

SAM數(shù)據(jù)庫的控制和維護。SAM數(shù)據(jù)庫位于注冊表HKLM\SAM\SAM下，受到ACL保護，可以使用regedt32.exe打開注

冊表編輯器并設(shè)置適當(dāng)權(quán)限查看SAM中的內(nèi)容。SAM數(shù)據(jù)庫在磁盤上就保存在%systemroot%system32\config\目

錄下的sam文件中，在這個目錄下還包括一個security文件，是安全數(shù)據(jù)庫的內(nèi)容，兩者有不少關(guān)系。

SAM數(shù)據(jù)庫中包含所有組、帳戶的信息，包括密碼HASH、帳戶的SID等。這些內(nèi)容在后面詳細(xì)介紹。以我分

析的系統(tǒng)中文Win2K Adv Server為例。

三、注冊表中SAM數(shù)據(jù)庫的結(jié)構(gòu)

展開注冊表HKLM\SAM\SAM\:

HKLM---SAM

|---SAM

|---Domains

| |---Account

| | |---Aliases

| | | |---Members

| | | |---Names

| | |---Groups

| | | |---00000201

| | | |---Names

| | | |---None

| | |---Users

| | |---000001F4

| | |---000001F5

| | |---000003E8

| | |---000003E9

| | |---Names

| | |---Adaministrator

| | |---Guest

| | |---IUSR_REFDOM

| | |---IWASM_REFDOM

| |---Builtin

| |---Aliases

| | |---00000220

| | |---00000221

| | |---00000222

| | |---00000223

| | |---Members

| | | |---S-1-5-21-1214440339-706699826-1708537768

| | | |---000001F4

| | | |---000001F5

| | | |---000003E8

| | | |---000003E9

| | |--- Names

| | |---Administrators

| | |---Users

| | |---Guests

| | |---Power Users

| |---Groups

| | |---Names

| |

| |---Users

| |---Names

|

|---RXACT

這是我機器上注冊表中的SAM樹。

對照SAM文件中的內(nèi)容，可以看出，注冊表中的SAM樹實際上就是SAM文件中一樣。不過，SAM文件中是先列

RXACT然后在是Domains內(nèi)容（以此類推），文件中的表達(dá)順序和注冊表中的樹形順序是相反的。如果習(xí)慣于看

文件內(nèi)容，從文件的0000h到0006Ch，表示的是SAM數(shù)據(jù)庫所在的位置：\systemroot\system32\config\sam，然

后是一端空白，直到01000h（hbin），從這里開始就是整個數(shù)據(jù)庫的內(nèi)容。SAM數(shù)據(jù)庫的文件內(nèi)容不作主要介紹，

不過會穿插著介紹，有興趣可以自己去研究。

四、SAM數(shù)據(jù)庫的結(jié)構(gòu)和主要內(nèi)容：

在整個數(shù)據(jù)庫中，帳號主要內(nèi)容存在于下面這些位置：

在\Domains\下就是域（或本機）中的SAM內(nèi)容，其下有兩個分支“Account”和“Builtin”。

\Domains\Account是用戶帳號內(nèi)容。

\Domains\Account\Users下就是各個帳號的信息。其下的子鍵就是各個帳號的SID相對標(biāo)志符。比如000001F4，

每個帳號下面有兩個子項，F(xiàn)和V。其中\(zhòng)Names\下是用戶帳號名，每個帳號名只有一個默認(rèn)的子項，項中類型不

是一般的注冊表數(shù)據(jù)類型，而是指向標(biāo)志這個帳號的SID最后一項（相對標(biāo)識符），比如其下的Administrator，

類型為0x1F4，于是從前面的000001F4就對應(yīng)著帳戶名administrator的內(nèi)容。由此可見MS帳號搜索的邏輯。

推斷一：從注冊表中結(jié)構(gòu)來看帳號，如果查詢一個帳戶名refdom的相關(guān)信息，那么，微軟從帳號名refdom中

找到其類型0x3EB,然后查找相對標(biāo)志符（或者SID）為000003EB的帳號內(nèi)容。所有的API函數(shù)（比如NetUserEnum()）

都是這樣來執(zhí)行的。因此，如果改變refdom帳號中的類型0x3EB為0x1F4，那么這個帳號將被指向類000001F4的帳

戶。而這個帳號000001F4就是administrator帳戶，這樣，系統(tǒng)在登錄過程中就把refdom帳號完全轉(zhuǎn)為了administrator

帳號，帳號refdom所使用的所有內(nèi)容、信息都是adminisrtator內(nèi)容，包括密碼、權(quán)限、桌面、記錄、訪問時間等

等。這個推斷應(yīng)該成立，但是，將意味著兩個用戶名對應(yīng)一個用戶信息，系統(tǒng)啟動上應(yīng)該會發(fā)生錯誤！

推斷一是在以前分析結(jié)構(gòu)的時候即得出了，揭示了登錄過程中及之后帳戶名和SID關(guān)聯(lián)的關(guān)系。

\Domains\Account\Users\000001F4，這就是administrator的帳戶信息（其他類似）。其中有兩個子項V和F。

項目V中保存的是帳戶的基本資料，用戶名、用戶全名(full name)、所屬組、描述、密碼hash、注釋、是否可以更

改密碼、帳戶啟用、密碼設(shè)置時間等。項目F中保存的是一些登錄記錄，比如上次登錄時間、錯誤登錄次數(shù)等，還

有一個重要的地方就是這個帳號的SID相對標(biāo)志符。

以前分析結(jié)構(gòu)的時候沒有留意到這個地方，這就是Adam提出的思路。這個地方就是這個SID相對標(biāo)志符在注冊

表中一個帳號出現(xiàn)了兩遍，一個是在子鍵000001F4，另一個地方就是子鍵中項F的內(nèi)容里面，從48到51的四個字節(jié)：

F4 01 00 00，這實際上是一個long類型變量，也就是00 00 01 F4。當(dāng)一個標(biāo)志出現(xiàn)在兩個地方的時候就將發(fā)生

同步問題。明顯，微軟犯了這個毛病。兩個變量本應(yīng)該統(tǒng)一標(biāo)志一個用戶帳號，但是微軟把兩個變量分別發(fā)揮各自

的作用，卻沒有同步統(tǒng)一起來。

子鍵中000001F4用來同用戶名administrator對應(yīng)，方便通過用戶查詢帳戶信息，比如LookupAccountSid（）等

帳號相關(guān)API函數(shù)都是通過這個位置來定位用戶信息的，這個關(guān)聯(lián)應(yīng)該是用在了帳戶登錄以后。而項目V值中的

F4 01 00 00是同帳戶登錄最直接相關(guān)聯(lián)的。

推斷二：WIN登錄的時候，將從SAM中獲得相對標(biāo)志符，而這個相對標(biāo)志符的位置是V值中的 F4 01 00 00。但是，

帳戶信息查詢卻使用的SAM中子鍵內(nèi)容。

推斷二的原因假設(shè)（假設(shè)一）：在帳戶登錄的時候，登錄過程獲得SAM數(shù)據(jù)庫中用戶名使用的帳戶記錄信息中的

相對標(biāo)志符值（相當(dāng)于V值中的 F4 01 00 00），帳戶登錄之后，所有跟帳戶相關(guān)的之后，這個值不再被API函數(shù)使

用，而相對標(biāo)志符由一個數(shù)據(jù)記錄項的字段名代替（相當(dāng)于子鍵000001F4）。微軟犯了一個同步邏輯問題！

推斷二是根據(jù)Adam提出而進(jìn)行的，以前沒有這樣推斷過。:( 推斷二如果成立，揭示了在登錄過程中帳戶SID進(jìn)行

的過程。這就是為什么V中的值都是跟帳戶登錄記錄（登錄時間，密碼錯誤次數(shù)等）相關(guān)的原因。同時，因為F中保存

了一個用戶名內(nèi)容，而API函數(shù)查詢的是這個用戶名，所以Adam的克隆辦法還是容易露臉，經(jīng)叮叮補充過后，這個用戶

名也被恢復(fù)原用戶名了，從用戶名上檢測就相對難了。

上面對項目V的介紹可以知道，其中保存的是帳戶的基本資料，用戶名、用戶全名(full name)、所屬組、描述、

密碼hash、注釋、是否可以更改密碼、帳戶啟用、密碼設(shè)置時間等。現(xiàn)在來關(guān)心的是密碼HASH。

假設(shè)二：在帳戶的項V中，包含了用戶HASH，分別包括是LM2和NT的密碼加密散列，Crack時，可分開進(jìn)行。畢竟

LM2簡單。

\Domains\Builtin下的內(nèi)容是同帳戶組相關(guān)的。其結(jié)構(gòu)同\Account下的類似，并且也存在相應(yīng)的問題，就不再

羅嗦了。

SAM數(shù)據(jù)庫保存的文件sam中，可沒有注冊表中的這么簡明的內(nèi)容，而主要是通過偏移量、長度來定位內(nèi)容。并

且單個帳號的信息都是集中在一塊的，而不是象注冊表形式這樣分隔開（名字的一個鍵而內(nèi)容在另外一個鍵）。

sam文件中，可根據(jù)這些下面這些分隔符來定位數(shù)據(jù)含義：

nk (6E 6B) 鍵或者子鍵名

vk (76 6B) 相應(yīng)的值

if (6C 66) 子鍵列表

sk (73 6B) 權(quán)限

五、關(guān)于SAM數(shù)據(jù)庫分析的結(jié)論：

SAM HACK是非常有危險性的。不正確的修改會將系統(tǒng)的安全數(shù)據(jù)管理器破壞，造成系統(tǒng)啟動問題，雖然可以通過

刪除SAM文件來讓啟動恢復(fù)。如果能夠熟悉SAM的結(jié)構(gòu)，你將發(fā)現(xiàn)，可以對用戶名與用戶名之間、用戶組與用戶組之間

進(jìn)行調(diào)換，以及帳戶和帳戶組偽造，完全打破微軟的帳戶格局。并且非常隱蔽，讓帳戶相關(guān)的API函數(shù)摸不著頭腦。

雖然微軟處理帳號信息中犯了不少邏輯問題，但是安全帳號數(shù)據(jù)庫并非不安全，所有操作都必須能完全擁有管理

員權(quán)限。

當(dāng)隱蔽后門的辦法被提出來之后，一定會讓不少“黑客”利用，管理員也應(yīng)該多多熟悉相關(guān)技術(shù)，作好安全檢測，

我的目的就達(dá)到了。對《克隆管理員帳號》的簡單檢測工具可以在我的主頁()下載，但是更多的還

是需要管理員學(xué)習(xí)相關(guān)知識，才能更好地檢測入侵。

求win7 sam文件

1、Win7系統(tǒng)的SAM文件存儲用戶密碼，不能直接復(fù)制出來的，本機的SAM文件存儲于X:\windows\system32\config\sam文件中（x指的系統(tǒng)盤，一般為C盤），事實上存儲的密碼是經(jīng)過不可逆加密算法處理的Hash散列。

2、因為Sam文件是不能復(fù)制出來的，因此Windows提供給用戶一個操作SAM文件的程序——注冊表編輯器，查看步驟具體如下：

1)：開始——搜索程序和文件中，輸入regedit，找到后，右鍵”以管理員身份運行“，打開注冊表編輯器后找到HKEY_LOCAL_MACHINE\SAM，對于此鍵下的所有子鍵的修改，都會保存于config目錄下的sam文件。

2）：要展開sam鍵，需要在sam鍵上右鍵，選擇”權(quán)限“，將管理員組的權(quán)限設(shè)置為“完全控制”，然后F5刷新即可看到sam鍵下的子鍵了。

名稱欄目：包含windows系統(tǒng)sam的詞條
文章位置：http://chinadenli.net/article25/dssppji.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、、移動網(wǎng)站建設(shè)、微信公眾號、App開發(fā)、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)